© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
thus Oliver Fromme spake:
> Timo Schoeler <timo.schoeler(at)riscworks.net> wrote:
> > Matthias Fechner wrote:
> > > [...]
> > > Aber ich kann bestätigen, greylisting hat auf jeden Fall einen spürbar
> > > positiven Effekt.
> >
> > was mich jetzt ein wenig ueberrascht. wir haben greylisting vor etwa 14
> > monaten wieder rausgenommen, weil vor allem spammer mit botnets gerne
> > den gesteigerten aufwand in kauf nehmen (sind ja nicht ihre ressourcen).
>
> Das kann ich jetzt wiederum nicht nachvollziehen. Grey-
> listing hilft gerade gegen Botnets ganz hervorragend.
> Aber vielleicht verstehst Du ja unter »Botnets« etwas
> anderes?
noe.
> Botnets sind ganz normale PCs (häufig von ahnungslosen
> Endanwendern, aber auch schlecht administrierte Pools
> an Universitäten u.ä.), die durch Schadsoftware (Würmer
> oder Trojaner) mit einer einfachen SMTP-Engine und einer
> Fernsteuermöglichkeit versehen wurden, wodurch sie zu
> Spamschleudern werden. Die SMTP-Engine (die eigentlich
> das Attribut »SMTP« gar nicht verdient) ist aber in der
> Regel sehr einfach gestrickt und nicht in der Lage, Mails
> bei Fehlversuchen zu queuen. Vermutlich ignoriert sie
> die Fehlercodes sogar vollkommen. Der Betreiber des Bot-
> nets möchte ja, daß seine Software möglichst lange unent-
> deckt bleibt, weshalb sie so klein und unauffällig wie
> möglich gestaltet wird.
>
> Es gibt sogar bekannte Fälle, wo so eine »Engine« einfach
> nur Port 25 aufmacht, dann -- ohne zu warten -- seinen
> SMTP-Sermon herunterrasselt (HELO, MAIL FROM, RCPT TO,
> DATA) und die Mail raushaut, ohne auch nur auf ein einzi-
> ges Byte der Gegenseite zu warten. Für diese Fälle ist
> noch nichtmal Greylisting notwendig; diesen Engines kann
> man ganz prima mit dem Sendmail-Feature "greet_pause" den
> Hals umdrehen: Wenn man es einschaltet, wartet Sendmail
> nach dem Connect erstmal kurz (z.B. 5 Sekunden), bevor es
> sein SMTP-Greeting schickt. Kommt in dieser Zeitspanne
> _irgendwas_ von der Gegenseite, wird keine Mail von dieser
> Verbindung angenommen. Resourcenverbrauch quasi null.
> Als ich vor ein paar Monaten mal Statistiken machte, hat
> das "greet_pause"-Feature bereits rund 10 Prozent des Spams
> im Keim erstickt.
insgesamt hast du natuerlich recht; allein, als ich ziemlich am anfang,
als greylisting anfing, aktuell zu werden, mich mit der materie
beschaeftigte, war da auch einiges an stimmen zu hoeren, dass die sache
positiver gesehen wird, als sie ist.
sicherlich hat ein kleiner oder mittlerer ISP keine probleme mit
temporaer volleren queues. nicht mit den heutigen ressourcen. mag sein,
dass damals davon ausgegangen ist, dass alle welt auf einen schlag
anfaengt, greylisting in grossem stil einzusetzen und mancher admin von
wirklich grossen ISPs schon in panik verfielen.
insgesamt ist es eine (weitere) abkehr vom KISS-prinzip.
um nochmal auf deine ausfuehrungen zu SMTP-engines in botnets zu kommen:
in der tat hat sich da einiges getan; im vergleich zu den anfaengen sind
das in vielen faellen eben keine sehr simpel gestrickten engines mehr,
sondern RFC-feste geschichten. m.e. ist das auch nachvollziehbar
insofern, dass das 'Return of Investment' viel hoeher ist -- mehr spam
versenden bei nicht viel groesserem risiko, entdeckt zu werden. da
werden einige leute ihre rechnung eben mit dem normalen windows-user
gemacht haben und mit der voraussicht, dass breitband zum quasistandard
wurde/wird.
> > umso besser, falls es sich wieder mehr 'lohnt'... was mich ein wenig
> > stoert, ist die erhoehte last, die greylisting auch auf unschuldigen
> > kisten erzeugt.
>
> Last eigentlich nicht, allerdings wird etwas Platz in der
> Queue benötigt, aber auch nur für kurze Zeit (typischer-
> weise eine halbe Stunde), und das auch nur dann, wenn bis-
> her zwischen Absender und Empfänger keine Kommunikation
> stattfand. Sobald eine Mail erfolgreich durchgeleitet
> wurde, wird automatisch ein Whitelist-Eintrag erzeugt, so
> daß weitere E-Mails zwischen beiden Partnern ohne Verzöge-
> rung zugestellt werden, so daß keine zusätzlichen Resourcen
> belegt werden. Darüberhinaus habe ich die IP-Adressen von
> bekannten Mailserver, von denen ich viele Mails erhalte und
> von denen ich sicher bin, daß von dort kein Spam kommt,
> manuell in die Whitelist eingetragen.
alles bekannt. aber wie gesagt, vielleicht fruehe panikmache (s.o.).
> Insgesamt würde ich daher sagen, daß der zusätzlicher Ver-
> brauch an Resourcen vernachlässigbar gering ist.
>
> Wenn man Empfänger hat, die sehr häufig Mails von bisher
> unbekannten Absendern bekommen (z.B. von neuen oder poten-
> tiellen neuen Kunden), kann man diese Empfänger gezielt
> vom Greylisting ausnehmen, wenn man möchte. Es mag auch
> andere Fälle geben, wo eine Verzögerung nicht akzeptabel
> ist, z.B. bei Adressen für Störungsmeldungen. Auch diese
> sollte man dann vom Greylisting ausnehmen. Man muß dies
> von Fall zu Fall entscheiden.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 10 Jul 2006 - 22:39:58 CEST